Приложение С (справочное). Информация по внутреннему аудиту. Национальный стандарт ГОСТ Р ИСО/МЭК 27003-2012 "Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Руководство по реализации системы менеджмента информационной безопасности" (утв. приказом Федерального агентства по техническому регулированию и метрологии от 15.11.2012 N 812-ст) (документ утратил силу)

Приложение С
(справочное)

Информация
по внутреннему аудиту

В данном приложении содержатся дополнительные рекомендации по планированию аудита.

Внедрение СМИБ должно оцениваться с постоянным интервалом путем внутреннего и независимого аудита. Аудит также служит для упорядочения и оценки опыта, накапливаемого в ходе повседневной практики. Для внедрения СМИБ необходимо планировать формы аудита.

При аудите СМИБ результаты аудита должны определяться на основе конкретных признаков. Следовательно, необходимо назначать подходящие периоды времени для выполнения операций, связанных со СМИБ для сбора необходимых доказательств.

Внутренний аудит СМИБ должен внедряться и осуществляться регулярно для оценки того, соответствуют ли цели и меры и средства контроля и управления, процессы и процедуры СМИБ требованиям ISO/IEC 27001 и соответствующим законам или нормам, соответствуют ли они определенным требованиям к информационной безопасности, и эффективно ли они внедряются и поддерживаются.

Однако выбор аудиторов для внутреннего аудита СМИБ может оказаться сложным для небольших компаний. Если у организации недостаточно ресурсов для проведения таких видов аудита, выполняемых опытными сотрудниками организации, следует привлекать для выполнения аудита внешних экспертов. Когда организация привлекает внешних аудиторов, следует принять во внимание следующее: внешние аудиторы хорошо знакомы с процедурой внутреннего аудита СМИБ, однако не обладают достаточными знаниями об организационной среде организации. Эта информация должна быть им предоставлена сотрудниками организации. С другой стороны, внутренние аудиторы могут иметь возможность проводить подробный аудит, принимая по внимание организационную среду организации, но могут не обладать достаточными знаниями о выполнении аудита СМИБ. Организации должны учитывать характеристики и потенциальные недостатки внутреннего аудита по сравнению с внешним при проведении внутреннего аудита СМИБ.

Эффективность и результативность применяемых средств управления (см. ISO/IEC 27004:2009) следует проверять в рамках внутреннего аудита.

Важно отметить, что аудит не проводится сотрудниками, которые были заняты в планировании и разработке целей безопасности, поскольку сложно найти свои собственные ошибки. Следовательно, в качестве аудиторов руководство должно привлекать подразделения организации или сотрудников, находящихся вне области действия внутреннего аудита СМИБ. Эти аудиторы должны планировать и проводить внутренний аудит СМИБ и составлять отчеты для получения дальнейших распоряжений руководства. В зависимости от размера организации может быть полезным отзыв внешних аудиторов, чтобы избежать ситуации, в которой сотрудники ограничены в своей работе.

При проведении внутреннего аудита СМИБ следует проверить, чтобы система эффективно работала, поддерживалась и оправдывала все ожидания. При планировании программы аудита аудиторы должны учитывать состояние и важность целей руководства, средств управления, процессов и процедур, подлежащих аудиту, а также результаты предыдущего аудита.

При проведении аудита необходимо документировать критерии, применяемую область действия, частоту проведения и метод аудита.

При выборе аудиторов необходимо обеспечить объективность и честность процесса аудита. При проведении серии процессов аудита аудиторы должны быть компетентны в следующих областях:

a) планирование и проведение аудита;

b) отчетность по результатам;

c) предложение корректирующих и предупреждающих действий и т.д.

Кроме того, организация должна определить сферы ответственности аудиторов и серию процессов аудита в процедурной документации.

Руководитель, отвечающий за процесс, подвергаемый аудиту, должен обеспечить, чтобы несоответствия и их причины должным образом устранялись без задержки. Однако это не означает, что несоответствие обязательно нужно устранить немедленно. Кроме того, выполняемые корректирующие действия должны включать проверку выполняемого действия и отчет по результатам проверки.

С точки зрения управления внутренний аудит СМИБ может проводиться эффективно, как часть других видов внутреннего аудита организации или в сочетании с ними. При проведении аудита следует обращаться к документу "Требования к организациям, проводящим аудит и сертификацию СМИБ ISO/IEC 27006:2007".